top of page
secom Logo angepasst.png

Aber sicher.

Ihr größtes Sicherheitsrisiko trägt einen Kaffeebecher 

  • 18. Mai
  • 9 Min. Lesezeit

Warum Mitarbeitende die wichtigste – und am häufigsten unterschätzte Schicht Ihrer Sicherheitsarchitektur sind. 


zwei Leute mit jeweils einer Kaffeetasse in der Hand

Stellen Sie sich kurz vor: Das größte Sicherheitsrisiko Ihres Unternehmens steht gerade an der Kaffeemaschine. Kein Hacker im Hoodie, keine dubiose Gestalt im Darknet – sondern ein Mitarbeiter, der gleich an seinen Schreibtisch zurückkehrt und auf eine täuschend echt aussehende E-Mail klicken wird. Eine, die aussieht wie von DHL. Oder von der Buchhaltung. Oder vom CEO persönlich. 


Provokant? Vielleicht. Aber die Zahlen sprechen eine deutliche Sprache. Und der Schaden, den ein einziger unbedachter Moment auslösen kann, übersteigt häufig das, was Unternehmen jemals in ihre technische Sicherheit investiert haben. Dieser Beitrag zeigt, warum Awareness das wirksamste – und gleichzeitig am häufigsten vernachlässigte – Instrument der Informationssicherheit ist, welche Fehler Unternehmen typischerweise machen und wie ein wirkungsvolles Programm konkret aussieht. 


Der Mensch: Sicherheitsrisiko Nummer 1 


Laut dem aktuellen Verizon Data Breach Investigations Report sind rund 68 Prozent aller Datenschutzvorfälle auf menschliches Verhalten zurückzuführen – Fehlklicks, schwache Passwörter, weitergegebene Zugangsdaten oder schlichte Unachtsamkeit im Alltag. Der IBM ‘Cost of a Data Breach Report’ beziffert die durchschnittlichen Kosten eines Vorfalls inzwischen auf 4,88 Millionen US-Dollar. Tendenz steigend. 


Phishing bleibt dabei das Einfallstor Nummer 1: Bei rund 90 Prozent aller erfolgreichen Cyberangriffe steht eine E-Mail am Anfang, auf die jemand geklickt hat. Eine einzige Mail. Ein einziger Klick. Ein Schaden, der bei vielen mittelständischen Unternehmen existenzbedrohend werden kann. 


Besonders perfide: Mit dem Aufkommen generativer KI haben sich Angriffe in den letzten zwei Jahren dramatisch verändert. Phishing-Mails enthalten kaum noch Rechtschreibfehler – sie sind sprachlich oft perfekter als interne Kommunikation. Deepfake-Anrufe imitieren überzeugend die Stimme der Geschäftsführung. Spear-Phishing-Kampagnen werden auf Basis von LinkedIn-Profilen, Pressemitteilungen und Social-Media-Posts in Minuten maßgeschneidert. Was früher leicht zu erkennen war, verlangt heute ein geschultes Auge, klare Prozesse und ein gesundes Maß an Misstrauen. 


Und Hand aufs Herz: Sie haben in den letzten Jahren vermutlich hohe Beträge in Firewalls, Monitoring-Systeme und Endpoint Protection investiert. Doch wie viel davon ist tatsächlich in Ihre Mitarbeitenden geflossen – also in jene Schicht, durch die Angreifer am häufigsten kommen? 


Die unbequeme Wahrheit über Awareness 


Eine wirksame Datenschutz-Schulung lebt vom Praxisbezug – ähnlich wie ein Brandschutztraining erst dann hilft, wenn die Teilnehmenden den Feuerlöscher auch tatsächlich in der Hand hatten. Studien zeigen: Wer Datenschutz nur einmal im Jahr als reine Pflichtveranstaltung abhakt, verändert sein Verhalten im Arbeitsalltag kaum nachhaltig. Genau deshalb setzen wir auf zusätzliche, wiederkehrende Schulungsformate, die Wissen mit konkreten Situationen aus dem Berufsalltag verknüpfen – damit aus Bewusstsein gelebte Sicherheit wird. 


Awareness ist kein Häkchen auf der Compliance-Liste. Awareness ist eine Kultur. Und Kulturen entstehen nicht in einer 30-minütigen E-Learning-Pflichtveranstaltung, durch die man sich am Quartalsende klickt, während im Hintergrund das Telefon klingelt. 


Was Awareness wirklich braucht, ist Wiederholung, Nähe zum Arbeitsalltag und – das wird oft vergessen – ein Klima, in dem Fehler offen angesprochen werden dürfen. Wer Awareness als einmaliges Projekt betrachtet, bekommt einmalige Ergebnisse. Wer sie als Prozess versteht, baut über Monate und Jahre eine Sicherheitskultur auf, die selbst neuen Angriffsformen standhält. 


Verhaltensforschung zeigt seit Jahren: Menschen ändern Gewohnheiten nicht durch Belehrung, sondern durch wiederholte, positive Erfahrung. Wer einmal erlebt hat, dass das Melden einer verdächtigen Mail Anerkennung bringt, statt belächelt zu werden, meldet auch das nächste Mal. Wer dagegen die Erfahrung macht, dass Sicherheitsthemen mit erhobenem Zeigefinger und Schuldzuweisungen daherkommen, wird beim nächsten Vorfall lieber schweigen. Die Sicherheitskultur eines Unternehmens entscheidet sich nicht in der Schulung – sondern in genau diesen kleinen Momenten. 


Die häufigsten Fehler in Awareness-Programmen 


Viele Unternehmen meinen es gut – und scheitern trotzdem. Wenn Sie sich an einem der folgenden Klassiker wiederfinden, sind Sie damit nicht allein. Die gute Nachricht: Jeder dieser Fehler lässt sich abstellen. 


  1. Awareness als reine Pflichtübung behandeln. Wer Schulung in den Stundenplan stopft wie eine lästige Compliance-Aufgabe, bekommt genau das zurück: lustlose Klick-Strecken und schnelle Vergessenskurven. Awareness braucht den klaren Anspruch, Verhalten zu verändern – nicht, Häkchen zu setzen. 


  2. Mit Angst arbeiten statt mit Verständnis. Drohungen wie "Wer klickt, bekommt eine Abmahnung" erzeugen kurzfristig Aufmerksamkeit – langfristig aber Schweigen, weil niemand Fehler zugeben will. Die Folge: Vorfälle werden vertuscht statt gemeldet. 


  3. Einmalkommunikation statt Wiederholung. Eine Jahresschulung, ein Plakat im Flur, eine E-Mail – fertig. Das Problem: Menschen vergessen rund 70 Prozent neuer Informationen innerhalb von 24 Stunden, wenn diese nicht aufgefrischt werden. Awareness funktioniert wie Marketing: über Wiederholung.


  4. One-Size-Fits-All. Eine Sachbearbeiterin im Einkauf hat andere Risiken als ein Außendienstler, eine Entwicklerin oder die Geschäftsführung. Wer allen dasselbe vorsetzt, trifft niemanden wirklich. Rollenspezifische Inhalte sind kein Nice-to-have, sondern Pflicht. 


  5. Keine Vorbildfunktion des Managements. Wenn Mitarbeitende Schulungen absolvieren müssen, aber die Geschäftsführung nicht erscheint, sendet das eine klare Botschaft: ‘Mich betrifft das nicht.’ Awareness-Kultur entsteht von oben – oder gar nicht. 


  6. Phishing-Simulationen ohne Nachbereitung. Wer Mitarbeitende in die Falle lockt, aber nicht erklärt, woran sie die Mail hätten erkennen können, hinterlässt Frust statt Lerneffekt. Jede Simulation braucht ein verständliches Debriefing innerhalb von Minuten nach dem Klick. 


  7. Kein Monitoring, keine Auswertung. Ohne Kennzahlen weiß niemand, ob das Programm wirkt. Ohne Wirkungsbeleg wiederum verliert es schnell an Budget und Rückhalt. Was nicht gemessen wird, hat keinen Hebel im nächsten Budgetgespräch. 


Was wirklich funktioniert: Ihre 7-Punkte-Checkliste 


Wenn Sie das Thema ernst nehmen wollen – und das sollten Sie spätestens seit Inkrafttreten der NIS-2-Richtlinie – starten Sie mit diesen sieben Maßnahmen. Sie sind unabhängig von der Unternehmensgröße umsetzbar und entfalten ihre volle Wirkung erst im Zusammenspiel: 


  1. Regelmäßige Phishing-Simulationen. Nicht zur Bestrafung, sondern als Lernmoment. Drei bis vier realistische Kampagnen pro Jahr senken die Klickrate nachweislich um bis zu 70 Prozent. Wichtig: sofortiges, freundliches Feedback im Klickfall – kein "Erwischt!"-Effekt. 


  2. Mikrolernen statt Marathonschulung. Kurze, themenspezifische Einheiten von drei bis fünf Minuten alle vier bis sechs Wochen wirken nachweislich besser als die jährliche Pflichtveranstaltung. Ein Thema pro Einheit reicht: Passwort-Hygiene, USB-Sticks, Social Engineering, Homeoffice-Sicherheit, Reiseverhalten. 


  3. Klare Meldekultur etablieren. Eine Person, die einen Phishing-Versuch meldet, ist Gold wert. Belohnen Sie Meldungen – auch Fehlmeldungen. Wer Angst vor Konsequenzen hat, schweigt. Und Schweigen ist teuer. Ein einfacher "Phishing-melden"-Button im E-Mail-Programm senkt die Reaktionszeit drastisch. 


  4. Sicherheit greifbar machen. Konkrete Szenarien aus dem eigenen Unternehmen schlagen jede theoretische DSGVO-Folie. Was passiert, wenn der Laptop im Zug liegen bleibt? Wenn ein gefälschter Anruf der Geschäftsführung um eine eilige Überweisung bittet? Wenn der USB-Stick auf dem Parkplatz lockt? Bauen Sie genau diese Geschichten in Ihr Training ein. 


  5. Führungskräfte ins Boot holen. Sicherheit ist Chefsache – aber nur dann, wenn sie sichtbar gelebt wird. Eine Geschäftsführerin, die ihr Passwort am Whiteboard notiert, sabotiert jede Awareness-Kampagne. Umgekehrt wirkt nichts stärker als eine Führungskraft, die offen sagt: "Auch ich wäre vor Kurzem fast auf eine Mail hereingefallen."


  6. Awareness-Champions ernennen. Pro Abteilung eine Person, die als Multiplikatorin und Ansprechpartner fungiert. Peer-Learning ist nachweislich effektiver als jede Top-Down-Mail vom Informationssicherheitsbeauftragten. Die Champions kennen die Arbeitsrealität ihrer Kolleginnen und Kollegen – und werden ernster genommen. 


  7. Zahlen sichtbar machen. Tracken Sie Klickraten, Meldequoten und Verhaltensänderungen über die Zeit. Was nicht gemessen wird, wird nicht ernst genommen. Und nichts motiviert Teams mehr als der sichtbare Beleg, dass sich ihr Aufwand auszahlt – etwa eine halbierte Klickrate innerhalb eines Jahres. 


Awareness im Homeoffice und in der Hybridarbeit 

Home Office, Schreibtisch mit Laptop und Tablet

Mit dem flächendeckenden Umstieg auf hybride Arbeitsmodelle hat sich die Angriffsfläche von Unternehmen dramatisch verändert. Wo früher ein klar definiertes Firmennetzwerk Schutz bot, arbeiten Mitarbeitende heute aus dem Wohnzimmer, dem Café oder dem Zug heraus – auf Geräten, die teils privat genutzt werden, in Netzwerken, die das Unternehmen nicht kontrolliert. Die spezifischen Risiken sind vielfältig: 


  • Verschwimmende Grenzen zwischen privat und beruflich. Auf demselben Laptop wird im Familienurlaub die Buchhaltungssoftware geöffnet. Ein kompromittierter Download eines Familienmitglieds reicht, um Unternehmensdaten zu gefährden. 


  • Ungesicherte WLANs. Der schnelle Stand-up-Call aus dem Hotel-WLAN oder vom Café-Hotspot öffnet Angreifern Türen, an die sie sonst nicht kämen. Ohne VPN ist jede Verbindung potenziell lesbar. 


  • Schulter-Surfen in der Öffentlichkeit. Im Zug, am Flughafen, im Co-Working-Space – wer keinen Blickschutz nutzt, präsentiert sensible Daten ungewollt einem breiten Publikum. 


  • Geräte, die niemand sieht. Der USB-Stick im Homeoffice-Drucker, das Privat-Tablet mit Unternehmens-Mail, die familieneigene Smart-Home-Steuerung im selben Netz: Risiken, die im Büro schlicht nicht existieren. 


  • Soziale Isolation als Angriffsvektor. Mitarbeitende im Homeoffice können Auffälligkeiten ("Hat der Kollege wirklich gerade um eine Überweisung gebeten?") seltener kurz im Vorbeigehen verifizieren. Genau das nutzen Angreifer beim CEO-Fraud gezielt aus. 


Was bedeutet das für Ihre Awareness-Strategie? Vor allem dreierlei: 


Erstens: Awareness-Inhalte müssen explizit Homeoffice-Szenarien abdecken – nicht als Randthema, sondern als zentralen Bestandteil. Wie konfiguriere ich mein Heim-WLAN sicher? Wann darf ich welches Gerät nutzen? Wie reagiere ich auf einen verdächtigen Anruf, wenn niemand neben mir sitzt? 


Zweitens: Klare, einfache Regeln schlagen lange Richtlinien. Eine verständliche Homeoffice-Policy mit fünf bis zehn klaren Punkten wird gelesen und gelebt. Ein 40-Seiten-Dokument verschwindet ungelesen im Posteingang. 


Drittens: Niedrigschwellige Kommunikationswege sind essenziell. Ein leicht erreichbarer Chat-Kanal oder eine Hotline, über die Mitarbeitende verdächtige Vorgänge schnell verifizieren können, ersetzt das fehlende "kurz beim Kollegen nachfragen" aus dem Büro. Eine simple Regel wie "Bei Geldforderungen immer per Rückruf auf bekannter Nummer verifizieren" verhindert einen Großteil der CEO-Fraud-Versuche. 


Awareness ist keine IT-Aufgabe 


Hier liegt vielleicht das größte Missverständnis: Awareness ist keine IT-Aufgabe. Sie ist eine HR-, Führungs- und Kommunikationsaufgabe – mit IT-Unterstützung. Wer Datenschutz und Informationssicherheit allein bei der IT verortet, hat das Spiel bereits verloren. Denn der Mensch, der den Anhang öffnet, sitzt selten in der IT-Abteilung. 


Die gute Nachricht: Mitarbeitende sind keine Schwachstelle. Sie sind Ihre potenziell stärkste Verteidigungslinie. Eine aufmerksame Sachbearbeiterin, die zweimal nachfragt, bevor sie einen Geldbetrag überweist, ist mehr wert als jede Firewall. Aber nur, wenn Sie sie auch dazu machen. 


Awareness als Wettbewerbsvorteil 


Ein Aspekt wird in der Awareness-Diskussion oft übersehen: Eine gelebte Sicherheitskultur ist längst nicht mehr nur Schutz vor Schaden – sie ist zunehmend ein Verkaufsargument. Kundinnen und Kunden, Auftraggeber und Versicherer fragen heute gezielt nach: Wie schulen Sie Ihre Mitarbeitenden? Welche Awareness-Maßnahmen können Sie nachweisen? Wie reagieren Sie im Ernstfall? 


Wer hier belastbare Antworten geben kann, gewinnt Aufträge, senkt Versicherungsprämien und schafft Vertrauen. Wer ausweichen muss, verliert. Insbesondere in Lieferketten mit kritischer Infrastruktur, im Gesundheitswesen oder im Finanzsektor ist nachgewiesene Awareness bereits heute oft Voraussetzung, um überhaupt mitbieten zu dürfen. Mit NIS-2 wird sich dieser Trend auf weitere Branchen ausweiten. 


Awareness ist damit nicht nur eine Sicherheits-, sondern eine Geschäftsentscheidung. Sie schützt nicht nur vor Verlusten, sondern öffnet Türen – und macht Ihr Unternehmen widerstandsfähiger gegen die Bedrohungen, die ohnehin auf Sie zukommen werden. 


Fazit 


Investieren Sie in Technik. Aber investieren Sie mindestens genauso konsequent in die Menschen, die damit arbeiten. Denn die teuerste Sicherheitsarchitektur nützt wenig, wenn jemand in der Buchhaltung auf die Mail "Ihre DHL-Sendung wartet auf Bestätigung" klickt. 


Awareness ist nicht das Ergebnis eines einzelnen Trainings. Sie ist das Ergebnis vieler kleiner, regelmäßiger Berührungspunkte. Eine Kultur, in der Sicherheit nicht als Hindernis, sondern als gemeinsames Anliegen verstanden wird. Eine Kultur, in der man auch beim Kaffee über Phishing-Versuche spricht, statt zu schweigen. 


Der Aufwand mag zunächst hoch erscheinen. Doch die Alternative – ein erfolgreicher Angriff mit Datenabfluss, Produktionsstillstand und Reputationsschaden – ist um ein Vielfaches teurer. Awareness ist die kosteneffizienteste Sicherheitsinvestition, die ein Unternehmen tätigen kann. Sie skaliert mit jeder Person, die Sie einstellen, und entfaltet ihre Wirkung jeden einzelnen Arbeitstag. 


Wann fand bei Ihnen die letzte echte Awareness-Maßnahme statt? Vor einem Jahr? Vor zwei? Vielleicht ist es Zeit, das stärkste Sicherheitsasset Ihres Unternehmens endlich ernst zu nehmen – das mit dem Kaffeebecher in der Hand. 


Und genau hier setzen wir an: Wir helfen Ihnen, Awareness vom Häkchen auf der Compliance-Liste zu einer gelebten Sicherheitskultur zu machen – mit erprobten Konzepten, passgenauen Formaten und messbaren Ergebnissen.



FAQ: Häufige Fragen rund um Mitarbeiter-Awareness 

Wie oft sollten wir Awareness-Schulungen durchführen? 

Statt einer großen Jahresschulung empfehlen wir kurze Lerneinheiten von drei bis fünf Minuten alle vier bis sechs Wochen. Wiederholung ist der Schlüssel: Wissen, das nicht regelmäßig aufgefrischt wird, verflüchtigt sich innerhalb weniger Monate. Ergänzend bewähren sich ein bis zwei jährliche Vertiefungsformate, etwa Live-Webinare oder Workshops zu aktuellen Bedrohungslagen. Bei besonders kritischen Funktionen – etwa in der Buchhaltung oder im IT-Support – kann eine engere Taktung sinnvoll sein. 

Sind Phishing-Simulationen rechtlich überhaupt zulässig?

Ja, unter den richtigen Voraussetzungen. Wichtig sind eine vorherige Information der Belegschaft (z. B. in der Datenschutzerklärung oder Betriebsvereinbarung), die Einbindung des Betriebsrats sowie die Beachtung der DSGVO-Grundsätze. Personenbezogene Auswertungen sollten zudem nur in aggregierter Form erfolgen – nicht zur Einzelbewertung. Wir unterstützen Sie gern bei der rechtssicheren Umsetzung. 

Was kostet ein professionelles Awareness-Programm? 

Die Bandbreite ist groß und hängt stark von Unternehmensgröße, Reifegrad, Branche und individuellem Anspruch ab. Wichtig ist: Ein wirkungsvolles Awareness-Programm muss kein Großprojekt sein – auch mit überschaubarem Budget lassen sich messbare Erfolge erzielen, wenn die Maßnahmen klug priorisiert werden. Setzen Sie diesen Aufwand ins Verhältnis zum potenziellen Schaden eines erfolgreichen Angriffs, der schnell in den sechs- oder siebenstelligen Bereich gehen kann, wird deutlich: Awareness ist eine der wirtschaftlichsten Sicherheitsinvestitionen überhaupt. Gerne erstellen wir Ihnen ein individuell auf Ihr Unternehmen zugeschnittenes Angebot.

Wie messen wir den Erfolg unserer Maßnahmen? 

Sinnvolle Kennzahlen sind die Klickrate auf simulierte Phishing-Mails, die Meldequote verdächtiger Nachrichten, die Bearbeitungsdauer von Lerneinheiten und die Anzahl tatsächlich gemeldeter Vorfälle. Wichtig: Verfolgen Sie Trends über mindestens 12 Monate – kurzfristige Schwankungen sagen wenig aus. 

Reicht ein E-Learning-Tool aus, oder brauchen wir mehr? 

Ein Tool ist die Grundlage, ersetzt aber keine Kultur. Erfolgreiche Programme kombinieren digitale Lernpfade mit Live-Formaten, interner Kommunikation, klaren Prozessen und sichtbarem Führungsengagement. Das Tool liefert Reichweite und Messbarkeit – die eigentliche Wirkung entsteht aber durch das, was darüber hinaus passiert: durch Gespräche im Team-Meeting, durch sichtbares Vorleben durch Führungskräfte, durch eine Sprache, die Sicherheit als gemeinsame Aufgabe behandelt statt als Bürde. 

Sollten wir externe Awareness-Anbieter einsetzen oder Inhalte intern entwickeln? 

Das hängt von Ihren Ressourcen ab. Externe Anbieter punkten mit aktuellem Content, professioneller Didaktik und Plattform-Funktionen. Interne Inhalte sind dafür näher an der Arbeitsrealität. In der Praxis bewährt sich oft eine Kombination: externe Standardinhalte als Basis, ergänzt durch unternehmensspezifische Szenarien – etwa echte (anonymisierte) Phishing-Mails, die im eigenen Hause aufgelaufen sind. 


Kommentare

bottom of page